Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
RGPD : les opérations où l’analyse d'impact est requise et ses lignes directrices
Justice Crédits : 3D_generator/iStock

RGPD : les opérations où l’analyse d'impact est requise et ses lignes directrices

Deux délibérations CNIL au JO
4 min

La CNIL a diffusé ce matin au Journal officiel deux délibérations. Elles concernent ceux engagés dans une mise en conformité avec le règlement général sur la protection des données (RGPD). Elles concernent les analyses d’impact, rendues obligatoires dans certains cas identifiés par le texte européen.

Mis en œuvre depuis le 25 mai 2018, le RGPD impose une série d’obligations aux responsables de traitement (ou à leurs sous-traitants). Parmi elles, l’analyse d’impact (ou AIPD) est une étape majeure du processus. Elle est requise dès lors qu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » selon l’article 35 du texte, analysé ligne par ligne dans nos colonnes. 

Le règlement décrit trois situations où un traitement présente sans doute un tel risque : profilage avec effet juridique, traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et des infractions et surveillance systématique à grande échelle d'une zone accessible au public.

Fidèle à sa logique de responsabilité, le texte laisse néanmoins à chaque acteur le soin de les jauger. Pour les accompagner, les autorités européennes, désormais réunies au sein du Comité européen de la protection des données (CEPD), ont publié en 2017 neuf critères permettant de considérer requise une telle analyse. Il suffit que deux d’entre eux soient vérifiés pour que l’AIPD soit en principe obligatoire :  

  1. Données traitées à grande échelle ;
  2. Données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou de santé, données biométriques et données concernant la vie ou l'orientation sexuelle) ou données hautement personnelles (données relatives à des communications électroniques, données de localisation, données financières, etc.) ;
  3. Données relatives aux personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
  4. Croisement ou combinaison de données ;
  5. Évaluation/scoring (y compris le profilage) ;
  6. Prise de décision automatisée avec un effet juridique ou similaire ;
  7. Surveillance systématique de personnes ;
  8. Traitement pouvant exclure du bénéfice d'un droit, d'un service ou d'un contrat ;
  9. Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles.

Les traitements exigeant systématiquement une analyse d'impact

Cet article est réservé à nos membres abonnés.

Publiée le 06 novembre 2018 à 15:09


Chargement des commentaires